データ処理契約の理解とGDPRコンプライアンスへの影響
一般データ保護規則(GDPR)は、欧州連合(EU)内でビジネスを展開したり、個人データを取り扱ったりする国際的な組織に影響を与えるものであり、コンプライアンスを維持する方法を知っておく必要があります。
GDPRのコンプライアンスを確保する1つの方法は、データ処理契約(DPA)を導入することです。ほとんどの企業は、ユーザーデータのセキュリティを維持する方法を検討する際に、DPAを見過ごしています。では、GDPRのコンプライアンスを確保する上で、DPAは具体的にどのような役割を果たすのでしょうか。
この記事では、DPAとその利点、DPAを必要とするデータ保護法、DPAを構成する条項について説明します。また、コンプライアンス違反の結果と、Matomoを使用してGDPRコンプライアンスを維持する方法についても説明します。
データ処理契約とは何ですか?
データ処理契約、データ保護契約、またはデータ処理補遺契約は、データ管理者(企業)とデータ処理者(第三者サービス・プロバイダー)の間の契約上の合意です。
DPAはまた、管理者と処理者の責任を定義し、データ処理に使用する用語を定めます。例えば、MHP/Team SIが信頼性が高く、コンプライアンスに準拠したウェブ解析を得るためにMatomo(データ処理者)のサービスを求めたとき、DPAは彼らの責任と義務を概説するのに役立ちました。
DPAはGDPRに準拠するための基本要件のひとつです。GDPRは、個人データの保護とセキュリティに関するEU規則です。GDPRは、所在地に関係なく、EU居住者または市民から積極的にデータを収集するすべての企業を拘束します。
企業としては、欧州のデータ保護法を遵守しない場合に発生する可能性のある法的責任を特定するために、DPAの内容を知っておく必要があります。例えば、セキュリティ・インシデントが再発した場合、顧客の個人データを処理する際にデータ漏洩につながる可能性があります。
2023年の平均データ漏洩コストは445万ドルです。この金額には、規制当局による罰金、封じ込め費用、事業損失が含まれます。このように、DPAはデータ処理方法の組織的セキュリティ対策を評価し、データ侵害を報告するためのプロトコルを定義するのに役立ちます。
なぜDPAがビジネスに不可欠なのでしょうか?
御社が顧客からの個人データ(連絡先など)を処理する場合、GDPRのようなデータセキュリティ法の遵守を保証するためにDPAが必要です。また、ウェブ分析やクラウドストレージなどのデータ処理を第三者に依頼する場合にもDPAが必要になります。
DPAを導入するメリットは何でしょうか?
DPAを締結する主なメリットは、第三者のデータ処理業者との取引条件の概要を示し、関連するデータプライバシー法の遵守を保証することです。DPAはまた、契約上の義務を定めることにより、お客様とデータ処理業者との間に説明責任の枠組みを構築するのにも役立ちます。
さらに、DPAは機密データへの不正アクセスのリスクを最小限に抑えるのに役立ちます。DPAは、個人の権利を保護し、不正な開示から個人データを保護するための組織的措置を定義します。データ処理業者を選択する前にDPAを取得することで、その業者の能力、コンプライアンス、適格性が保証されます。
自国民とそのデータをより良く保護するために、すでに120カ国以上が何らかの形で国際的なデータ保護法を採用しています。従って、どの法律がDPAを要求しているのか、またどのようにすればコンプライアンスを確保できるのかを知ることが重要です。
DPAを必要とするデータ保護法は?
規制機関はデータ保護法を制定し、消費者が自分のデータとそれを企業がどのように利用するかについて、より大きな管理を行えるようにしています。これらの法律は、データ処理の透明性と企業のコンプライアンスを保証します。
以下は、DPAの策定が必要となるデータプライバシー関連法の一部です:
これらのデータ保護義務を守らない企業は、通常、罰金や罰則などの責任を負うことになります。DPAがあれば、顧客との間でデータ処理に関する明確な期待値を設定することができます。
GDPRおよび上記で述べた法律に準拠していることを確認するため、第三者処理業者とのDPAを見直し、更新します。さらに、関連するデータプライバシー法を遵守するために、関連する条項がすべて存在することを確認します。
では、どのようなデータ処理条項をDPAに盛り込むべきでしょうか?次のセクションで詳しく見ていきましょう。
データ処理契約の主な条項
GDPRは、DPAに記載すべき事項に関する一般的な推奨事項をいくつか提示しています。
以下は、盛り込むべき要素です:
データ処理仕様
貴社のDPAは、データ処理の具体的な事業目的、処理期間、および処理中のデータのカテゴリーに対処する必要があります。また、GDPRコンプライアンスを維持する責任者と、データ主体が誰であるか(所在地と国籍を含む)を明記する必要があります。
貴社のDPAは、データ削除および契約解除に関するデータ処理者および管理者の責任についても言及する必要があります。
プロセッサーの役割
DPAには、データ処理者がどのような責任を負い、どのような責任を負うかを明確に記載する必要があります。主な責任には、記録の保持、違反の報告、データ・セキュリティの維持などがあります。
データ処理業者のその他の役割には、お客様に監査機会を提供し、照会時にデータ保護当局に協力することが含まれます。お客様が契約を終了することを決定した場合、データ処理業者は、お客様の合意に基づき、データを削除または返却する責任を負います。
コントローラーの役割
DPAはデータ管理者の責任を通知する必要があり、これには通常、データ処理者に処理指示を発行し、データ処理方法を指示することが含まれます。
DPAによって、データ処理者が従うべき合法的なデータ処理プロセスを定義し、個人のセンシティブ・データのデータ保護権をどのように守るかを定める必要があります。
組織的・技術的仕様
貴社のDPAは、第三者であるデータ処理者がどのように個人データを暗号化し、アクセスし、テストするかなどの仕様を定義する必要があります。また、データ処理者および管理者が、以下のような様々な要素を通じて、どのように継続的なデータ・セキュリティを維持するかについての仕様も含める必要があります:
- 技術の状況:第三者処理業者は信頼できる技術を持っているか、また、そのシステム内でデータ・セキュリティーを確保できるか。
- 導入コスト:データ管理者の予算は、一定レベルのセキュリティを保証できる業界トップクラスのプロバイダーに第三者サービスを求めることができるか。
- 利用者の個人的自由のばらつき:利用者が企業による機密データの利用方法を表明するためのプライバシーポリシーやオプトアウトフォームがあるか。
さらに、データ処理サービスおよびシステムの機密性、可用性、および完全性をどのように確保するかについて、貴社および貴社のデータ処理事業者が定める必要があります。
DPA GDPR不遵守の罰則は?
規制当局は、GDPRの厳しい制裁金を利用して、データ管理者や第三者処理業者がデータセキュリティのベストプラクティスに従うよう促しています。コンプライアンスを維持する1つの方法は、データ処理業者とDPAを作成することです。
DPAは、必要な法的要件を明確に概説し、上記の関連条項をすべて盛り込む必要があります。データ保護当局は、たとえ処理者のミスが原因であったとしても、違反の責任を企業に問うことができるため、この契約書の内容を理解しておく必要があります。
GDPRが施行された今、データ保護当局は罰則を科すことができます。例えば、GDPRの第83条によると、データまたはプライバシーの侵害またはコンプライアンス違反に対する罰則は、最高2000万ユーロまたは年間売上高の4%に達する可能性があります。
罰金には第1段階と第2段階の2種類があります。データ処理業者に関する違反は通常、第1段階レベルの罰金を科せられます。ティア1レベルの罰金は、1,000万ユーロ、または貴社のグローバル売上の2%に相当します。
ティア2の罰金は、消費者の忘却権とプライバシー権の侵害に起因します。ティア2の罰金は、最大で2,000万ユーロ、または貴社の世界売上の4%に相当します。
GDPRの罰金は、あらゆる規模の企業にとって、コンプライアンス違反が高価な過ちとなることを意味します。そのため、企業のデータ処理者として機能するすべての当事者とDPAを締結することは、GDPRの遵守を維持するのに役立ちます。
DPAがGDPRへの準拠を支援する方法
DPAは、貴社のビジネスが合法的なデータプロセスを定義し、遵守するのを支援します。
では、DPAはGDPRへの準拠を維持するために、他にどのような点で役立つのでしょうか?見てみましょう!
1. データ処理業者のコンプライアンス評価
DPAがあることで、取引先のデータ処理業者がGDPRに準拠していることを確認することができます。DPAの有無を確認し、処理業者の利用規約と法的根拠を確認する必要があります。
例えば、GDPRに準拠したGoogleアナリティクスの代替が必要であれば、Matomoを選ぶことができます。MatomoにはDPAがあり、ウェブ解析サービスの契約時またはそれ以降に同意することができます。
2. 合法的なデータプロセスを確立する
DPAはまた、貴社のデータプロセスがGDPRに準拠しているかどうかを確認するための見直しの支援も行います。例えば、合法的なデータプロセスを定義することで、個人を特定できる情報(PII)とそれがデータプライバシーにどのように関連するかをよりよく理解することができます。
さらに、ユーザーがデータの共有を拒否することもできます。このように、MatomoはあなたのウェブサイトでDo Not Track設定を有効にするお手伝いをします。
この機能により、ユーザーは各自のブラウザのトグルでトラッキングをオプトインまたはオプトアウトできます。
実際、合法的なデータプロセスを確立することで、個人データを収集・処理する具体的な事業目的を明確にすることができます。そうすることで、GDPRに準拠したプライバシーポリシーをウェブサイトに掲載し、ユーザーにデータが必要な理由を通知し、データ処理に対する同意を得ることができます。
3. データの匿名化
GDPRやePrivacyのような世界的なプライバシー法は、訪問者のデータを追跡する前にクッキーのバナーを表示するか、同意を求めることを企業に義務付けています。適用される規制に従うために、サイトにクッキーの同意バナーを掲載するか、クッキーの追跡を停止することができます。
さらに、クッキーを使わないトラッキングを有効にしたり、ユーザーが簡単にオプトアウトできるようにすることもできます。例えば、クッキーの同意バナーなしでMatomoを使用し、多くの国のプライバシー規則から除外することができます。
さらに、DPAを通じて、すべてのユーザーデータをどのように匿名化するかを定義する組織的措置を定義することができます。Matomoは、IPアドレスを匿名化するお手伝いをすることができ、少なくとも最後の2バイトを匿名化することをお勧めします。
トラッキングの同意なしにデータを収集できる数少ないウェブ解析ツールの一つとして、Matomoはフランスデータ保護局(CNIL)の承認も受けています。
4. プロセッサの帯域幅を評価する
DPAがあれば、明確な保存期間を示すデータ保持ポリシーを導入することができます。このようなポリシーは、第三者サービスプロバイダーとの契約を終了し、彼らがデータをどのように取り扱うべきかを決定する際に役立ちます。
DPAはまた、処理業者が個人データを安全に保管するために必要な技術を有していることを確認するのにも役立ちます。監査を実施して、考えられる脆弱性とデータ処理業者の技術的能力を把握することができます。
5. 法律顧問を得る
DPAを起草する際には、完全なコンプライアンスを確保するために何が必要かについて相談を受けることが重要です。法律顧問を得ることで、コンプライアンス違反につながるようなミスを犯さないよう、正しい方向性を示すことができます。
結論
ユーザーのデータを処理する企業は、GDPRの下でいくつかのDPA契約要件の対象となります。最も重要なものの1つは、データ処理の実行を支援するすべての第三者プロバイダーとDPAを締結することです。
コンプライアンスのためには、GDPRの要件について常に最新情報を入手することが重要です。そのため、Matomoはお客様が合法的なデータプロセスを維持するお手伝いをします。Matomoはデータを完全にコントロールし、GDPRの要件に準拠します。
Matomoを始めるには、21日間の無料トライアルにサインアップしてください。クレジットカードは必要ありません。
免責事項
私たちは弁護士ではありませんし、そうであると主張するものでもありません。ここで提供する情報は、GDPRの入門に役立つものです。私たちは、すべてのビジネスとウェブサイトがデータプライバシーを真剣に受け止め、懸念がある場合は弁護士にこれらの問題を相談することをお勧めします。